什么是“合規(guī)審計(jì)”？



合規(guī)審計(jì)是審計(jì)機(jī)構(gòu)和審計(jì)人員依據(jù)國(guó)家法律、法規(guī)和財(cái)經(jīng)制度對(duì)被審計(jì)單位的生產(chǎn)經(jīng)營(yíng)管理活動(dòng)及其有關(guān)資料是否合規(guī)所進(jìn)行的一種經(jīng)濟(jì)監(jiān)督活動(dòng)。

針對(duì)個(gè)人信息保護(hù)的合規(guī)審計(jì)，其審計(jì)的對(duì)象就落在了個(gè)人信息處理者的個(gè)人信息處理活動(dòng)。無(wú)論是《個(gè)人信息保護(hù)法》，還是《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》都將合規(guī)審計(jì)的對(duì)象指向了“個(gè)人信息處理活動(dòng)”，但從實(shí)施審計(jì)的著眼點(diǎn)和目的來(lái)看，對(duì)于該“個(gè)人信息處理活動(dòng)”不能僅理解為個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等，還應(yīng)當(dāng)包括個(gè)人信息處理者的內(nèi)部管理制度、安全技術(shù)措施、教育培訓(xùn)、負(fù)責(zé)人資質(zhì)能力等圍繞個(gè)人信息處理活動(dòng)的制度、管理、人員等因素。


通過上述明確個(gè)人信息保護(hù)合規(guī)審計(jì)的含義及對(duì)象，可以清晰地梳理出《征求意見稿》對(duì)個(gè)人信息處理者在處理個(gè)人信息過程中需要保證的制度、管理、技術(shù)、能力等各方面提出的要求?！秱€(gè)保法》針對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)規(guī)定了兩種形式，即定期主動(dòng)審計(jì)和應(yīng)監(jiān)管機(jī)構(gòu)要求的被動(dòng)審計(jì)，從企業(yè)自身經(jīng)營(yíng)和風(fēng)險(xiǎn)控制的角度，一定不希望在發(fā)現(xiàn)自身個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或發(fā)生個(gè)人信息安全事件后，監(jiān)管機(jī)構(gòu)介入要求強(qiáng)制進(jìn)行合規(guī)審計(jì)。從企業(yè)自身發(fā)現(xiàn)問題、主動(dòng)規(guī)避風(fēng)險(xiǎn)、維護(hù)企業(yè)良好聲譽(yù)、提升個(gè)人信息保護(hù)能力等目的出發(fā)，按照規(guī)定定期進(jìn)行合規(guī)審計(jì)就成為了一項(xiàng)重要任務(wù)。